Die umsetzbare NIS-2-Roadmap: Besser als die schönste Präsentation

Die schönste NIS-2-Roadmap ist die, die niemand umsetzt. Ich sage das direkt, weil es ein reales Problem in der Beratungspraxis ist: Aufwändige Dokumente, die nach der Ergebnis-Präsentation in der Schublade landen.

Das ist kein Fehler der Menschen, die sie lesen. Es ist ein Fehler der Roadmaps selbst.

Was Roadmaps schwer umsetzbar macht

Roadmaps scheitern an drei Strukturschwächen.

Erstens: zu viele Massnahmen ohne klare Reihenfolge. Wenn alles gleichzeitig angegangen werden soll, passiert nichts. Das Team hat keine Orientierung, welche Aufgabe als nächste drankommen soll, und beginnt überall ein bisschen - was bedeutet: nirgendwo wirklich.

Zweitens: Massnahmen ohne Ownership. Eine Liste von Aufgaben ohne zugeordnete Verantwortliche ist eine Wunschliste. Sie wird so lange ignoriert, bis jemand nachfragt.

Drittens: Aufwand, der nicht in den Alltag passt. Viele Roadmaps gehen implizit davon aus, dass NIS-2 ein Fokusprojekt ist, dem das Team 20-30% seiner Kapazität widmet. In der Realität des Mittelstands ist das selten möglich. Wer das nicht einrechnet, plant an der Wirklichkeit vorbei.

Was eine umsetzbare Roadmap ausmacht

Eine Roadmap, die tatsächlich verwendet wird, hat drei Merkmale:

Klare zeitliche Staffelung

30-60-90 Tage. Was passiert in Monat 1? Was in Monat 2? Was danach? Diese Staffelung zwingt zur Priorisierung und schafft Orientierung.

Die ersten 30 Tage sind entscheidend: Sie müssen zeigen, dass Bewegung möglich ist. Frühzeitige Erfolge halten das Momentum aufrecht.

Ownership pro Massnahme

Jede Massnahme trägt einen Namen. Nicht "IT" oder "Compliance", sondern eine Person, die in einem Status-Meeting Rechenschaft ablegt.

Das ist unbequem. Es ist trotzdem notwendig. Eine Massnahme ohne Verantwortlichen ist eine Massnahme, die niemand priorisiert.

Realistische Kapazitätsplanung

Wieviel Zeit braucht jede Massnahme? Wieviel interne Kapazität ist vorhanden? Was wird extern begleitet?

Diese Fragen müssen im Assessment beantwortet werden, nicht in der Umsetzungsphase. Wer erst während der Umsetzung merkt, dass die Kapazitäten nicht ausreichen, verliert Zeit und Momentum.

Der 30-60-90-Tage-Rhythmus in der Praxis

Der erste Schritt für die meisten Unternehmen ist die Klärung von Verantwortlichkeiten und die Prüfung, welche NIS-2-Anforderungen bereits erfüllt sind. Das ist realistisch in 30 Tagen leistbar.

In den nächsten 30 Tagen beginnt die Arbeit an den kritischen Lücken - denjenigen mit dem höchsten Risiko oder dem grössten Nachweisbedarf. Parallel entsteht eine erste Version des Meldeprozesses.

In Monat drei werden die Ergebnisse konsolidiert, die Nachweisstruktur aufgebaut und die Roadmap für den Regelbetrieb vorbereitet.

Was ein gutes Assessment liefert

Ein strukturiertes Assessment produziert eine Roadmap, die genau diese Anforderungen erfüllt. Priorisierte Massnahmen, klare Ownership, realistischer Aufwand - und eine Ergebnis-Präsentation, die das Management tatsächlich nutzen kann.

Das Ziel ist nicht ein schönes Dokument. Das Ziel ist, dass am Montag nach der Präsentation jemand mit der Umsetzung beginnt.

Fazit

Die beste Roadmap ist nicht die umfassendste. Sie ist die, die umsetzbar ist. Das bedeutet: priorisiert, mit Ownership, mit realistischer Kapazitätsplanung - und klar genug, dass niemand raten muss, was als nächstes zu tun ist.